Cross-Site Request Forgery en IBM WebSphere Application Server

Iniciado por wolfbcn, 22 Junio 2011, 01:37 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

wolfbcn

22 Junio 2011, 01:37 AM
Se ha reportado una vulnerabilidad en IBM WebSphere Application Server que podría permitir a un atacante remoto forzar a un administrador realizar acciones no deseadas en la consola de administración.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Afecta a IBM WebSphere Application Server versiones 7.0.0.11 y 7.0.0.13, posiblemente versiones anteriores también se vean afectadas.

La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios cruzados. Este ataque podría emplearse por atacantes remotos para realizar acciones no autorizadas sobre la consola de administración, engañando o forzando al administrador a visitar una página web maliciosa.

IBM planea publicar una actualización para corregir esta vulnerabilidad en el tercer cuatrimestre del año. Como contramedidas de acuerdo a la OWASP este tipo de vulnerabilidades pueden evitarse, entre otras formas, comprobando la cabecera "referer" de las peticiones http.

Antonio Ropero
antonior@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4622
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario